Здравствуйте!
FreeBSD6.1 + mpd + natd + ipfw.
Ситуация такая - от провайдера интернет через vpn, клиентам интернет тоже через vpn. Т.е. у меня на шлюзе стоит mpd, который при запуске устанавливает соединение с провайдеровским vpn-сервером (интерфейс ng0) и создает ngX-интерфейсы для подключения пользователей.На данный момент правила такие
# set these to your outside interface network and netmask and ip
oif="rl1"
oip="внешний ип"
onet="внешняя сеть"
omask="255.255.255.0"
# set these to your inside interface network and netmask and ip
iif="rl0"
iip="внутренний ип"
inet="внутренняя сеть"
imask="255.255.255.0"
ipfw add 100 check-state
# ipfw add 210 deny icmp from any to any in icmptype 5,9,13,14,15,16,17
ipfw add 300 allow ip from any to any via lo0
ipfw add 310 allow tcp from me to any keep-state via ${oif}
# ipfw add 320 allow icmp from any to any
ipfw add 350 allow ip from me to any
ipfw add 400 allow tcp from any to me http, https, ssh, ftp
ipfw add 500 divert natd ip from any to any via ng0
# ipfw add 1000 allow ip from 192.168.0.2 to any via $iif
# ipfw add 1010 allow ip from any to 192.168.0.2 via $iif
ipfw add 1020 allow ip from 192.168.1.1 to any via ng1
ipfw add 1030 allow ip from any to 192.168.1.1 via ng1
ipfw add 1900 allow ip from any to any
ng1 создает туннель 192.168.1.1 -> 192.168.0.1.
192.168.0.1 - ip шлюза
192.168.0.2 - ip клиента
Вопрос: почему, если разкомментировать строчку 320, то пинг перестает проходить? При раскомментировании 210 не могу законнектиться по ssh к шлюзу. Почему на правило 1900 попадают пакеты, что мне нужно еще обрабатывать, чтобы до него ничего не доходило (чтобы можно было заменить его на "deny ip from any to any"?
Спасибо!
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(??) on 10-Мрт-07, 06:11 
